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(PCT Article 36 and Rule 70) 



Applicant's or agent's file reference 
P98135W0.1P 


See Notification of Transmittal of International 
FOR FURTHER ACTION preliminary Examination Report (Form PCT/IPEA/4I6) 


International application No. 


International filing date {day/month/year) 


Priority date {day/month/year) 


PCT/EP99/07052 


22 September 1999 (22.09.99) 


09 October 1998 (09.10.98) 


International Patent Classification (IPC) or national classification and IPC 




H04L 9/08 






Applicant 


DEUTSCHE TELEKOM AG 





This international preliminary examination report has been prepared by this International Preliminary Examining 
Authority and is transmitted to the applicant according to Article 36. 



This REPORT consists of a total of 



. sheets, including this cover sheet. 



This report is also accompanied by ANNEXES, i.e., sheets of the description, claims and/or drawings which have 
been amended and are the basis for this report and/or sheets containing rectifications made before this Authority 
(see Rule 70.16 and Section 607 of the Administrative Instructions under the PCT). 



These annexes consist of a total of _ 



sheets. 



This report contains indications relating to the following items: 
Basis of the report 
Priority 

Non-establishment of opinion with regard to novelty, inventive step and industrial applicability 
Lack of unity of invention 

Reasoned statement under Article 35(2) with regard to novelty, inventive step or industrial applicability; 
citations and explanations supporting such statement 

Certain documents cited 
Certain defects in the international application 
Certain observations on the international application 
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IV 


□ 


V 




VI 


□ 


VII 


□ 


VIII 


□ 
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12 February 2000 (12.02.00) 


Date of completion of this report 

05 October 2000 (05.10.2000) 


Name and mailing address of the IPEA/EP 
Facsimile No. 


Authorized officer 
Telephone No. 



Form PCT/IPE A/409 (cover sheet) (January 1994) 



INTERNATIONAL PRELIMINARY EXAMINATION REPORT 



Remational application No. 

PCT/EP99/07052 



I. Basis of the report 



1 . This report has been drawn on the basis of (Replacement sheets which have been furnished to the receiving Office in response to an invitation 
under Article } 4 are referred to in this report as originally filed" and are not annexed to the report since they do not contain amendments,): 

the international application as originally filed. 

^ the description, pages , as originally filed, 

pages , filed with the demand, 

pages 3,3a,4,5 ^ filed with the letter of _ 

pages , filed with the letter of — 



08 August 2000 r08.Q8.2000> 



the claims, 



Nos. 
Nos. 
Nos. 
Nos. 
Nos. 



, as originally filed, 

, as amended under Article 19, 

, filed with the demand, 

, filed with the letter of 

, filed with the letter of 



08 August 2000 (08.08.2000) 



[ I the drawings, sheets/fig 
sheets/fig 
sheets/fig 
sheets/fig 



, as originally filed, 
, filed with the demand, 
, filed with the letter of 
, filed with the letter of 



2. The amendments have resuhed in the cancellation of: 

I I the description, pages 

I I the claims, Nos. 



I I the drawings, sheets/fig 



^ I I This report has been established as if (some of) the amendments had not been made, since they have been considered 
* ' — ' to go beyond the disclosure as filed, as indicated in the Supplemental Box (Rule 70.2(c)). 



4. Additional observations, if necessary: 



Form PCT/IPEA/409 (Box I) (January 1994) 



INTERNATIONAL PRELIMINARY EXAMINATION REPORT 



itemationai application No. 
PCT/EP 99/07052 



V. Reasoned statement under Article 35(2) with regard to novelty, inventive step or industrial applicability; 
citations and explanations supporting such statement 



Statement 
Novelty (N) 

Inventive step (IS) 
Industrial applicability (lA) 



Claims 
Claims 

Claims 
Claims 

Claims 
Claims 



YES 
NO 
YES 
NO 

yes; 

NO 



Citations and explanations 

1. This report makes reference to the following 
documents : 



Dl IEEE Inf ocom ' 93 . The conference on computer 
communxca^lons proceedings. Twelfth annual joint 
conference of the IEEE computer and communications 
societies. Networking: Foundation for the future 
(cat. N0.93CH3264-9) (28-03-1993), Vol. 3, pages 
1406-1413. "On the design of conference key 
distribution systems for the broadcasting networks" . 

2. Dl, mentioned on page 3 of the description, 

discloses (page 1409, column 2, last paragraph to 
page 1410, column 1) a method for establishing a 
common key between an exchange (chairman) and a 
group of n subscribers. Shares are derived and the 
(n+1.2n) threshold method of Dl is equivalent to (n, 
2n-l) threshold method of Claim 1. 



Even in Dl the exchange does not have to know the 
secret key of the subscribers; only one common key 
is required between the subscribers and the exchange 
(see Dl, page 1410, column 1, paragraph 1), which, 
for example could be formed in a known manner (see 



Form PCT/IPEA/409 (Box V) (January 1994) 



[MINARY EXAMINATION REPORT 



Tktemational application No. 
PCT/EP 99/07052 



page 1 of the application) from the secret key of 
the subscriber and the exchange without the exchange 
having to know the key of the subscriber. 

3. As a result the method of the present claim differs 
from the disclosure of Dl in that the common key is 
determined by contributions of all group members. 
The risk of a weak key is therefore excluded to a 
large degree. 

4. The search report citations do not disclose or 
suggest such a procedure. Consequently, the subject 
matter of the claim can be regarded as novel and 
inventive ( PCT Article 33(3)). 



Form PCT/IPEA/409 (Box V) (January 1994) 



VERTRAG UBER DIE INTERNATIONALE ZUSAMMENARBEIT AUF DEM Ir^C'd 

GEBIET DES PATENTWESENS ' ^ 



PCT 

INTERNATIONALER VORLAUFIGER PRUFUNGSBERICHT 

(Artikel 36 und Regel 70 PCT) 




Aktenzeichen des Anmelders oder Anwalts 
P98135W0.1P 



WEITERES VORGEHEN 



siehe Mitteilung uber die Ubersendung des internationalen 
vorlaufigen Prufungsbericht (Formblatt PCT/IPEA/416) 



Internationales Aktenzeichen 
PCT/EP99/07052 



I nternationales AT\Tr\e\die6atum(Tag/Monat/Jahr) 
22/09/1999 



Prioritatsdatum (Tag/Monat/Tag) 
09/10/1998 



Internationale Patentklassification (IPK) oder nationale Wassifikation und IPK 
H04L9/08 



Anmelder 

DEUTSCHE TELEKOM AG ET AL 



1 . Dieser internationals vorlaufige PrQfungsbericht wurde von der mit der Internationale vorlaufigen Prufung beauftragte 
Behorde erstellt und wird dem Anmelder gema3 Artikel 36 ubermittelt. 

2. Dieser BERICHT umfaBt insgesamt 4 Blatter einschlieBlich dieses Deckblatts. 

S Au3erdem liegen dem Bericht ANLAGEN bei; dabei handelt es sich um Blatter mit Beschreibungen. Anspruchen 
und/oder Zeichnungen, die geandert wurden und diesem Bericht zugrunde liegen, und/oder Blatter mit vor dieser 
Behorde vorgenommenen Berichtigungen (siehe Regel 70.16 und Abschnitt 607 der Venwaltungsrichtlinien zum PCT). 

Diese Anlagen umfassen insgesamt 5 Blatter. 



3. Dieser Bericht enthalt Angaben zu folgenden Punkten: 
I ^ Grundlage des Berichts 



II 


□ 


III 


□ 


IV 


□ 


V 




VI 


□ 


VII 


□ 


VIII 


□ 



gewerbliche Anwendbarkeit; Unterlagen und Erklarungen zur Stutzung dieser Feststellung 



Datum der Einreichung des Antrags 



12/02/2000 



Datum der Fertigstellung dieses Berichts 



05.10.2000 



Name und Postanschrift der mit der internationalen vorlaufigen 
PrUfung beauftragten Behorde: 

Europaisches Patentamt - P. 8. 5818 Palentlaan 2 

NL-2280 HV Rijswijk - Pays Bas 
Tel. +31 70 340 - 2040 Tx: 31 651 epo nl 

Fax: +31 70 340 - 3016 



BevoltmSchtigter Bediensteter 
Zucka, G 

Tel. Nr. +31 70 340 4026 



Formblatt PCT/IPEA/409 (Deckblatt) (Januar 1994) 



n 
I 



INTERNATIONALER VORLAUFIGER 

PRUFUNGSBERICHT Internationales Aktenzeichen PCT/EP99/07052 

I. Grundlage des Berichts 

1 . Dieser Bericht wurde erstellt auf der Grundlage (Ersatzblatter, die dem Anmeldeamt auf eine Aufforderung nach 
Artikel 14 hin vorgelegt warden, getten im Rahmen dieses Berichts als "ursprunglich eingereicht" und sind ihm 
nicht beigefugt, weil sie keine Anderungen enthaften,): 

Beschreibung, Seiten: 

1,2 ursprungliche Fassung 

3,3a,4,5 eingegangen am 28/08/2000 mit Schreiben vom 08/08/2000 
Patentanspriiche, Nr.: 

1 eingegangen am 28/08/2000 mit Schreiben vom 08/08/2000 



2. Aufgrund der Anderungen sind folgende Unterlagen fortgefallen: 

□ Beschreibung, Seiten: 

□ Anspruche, Nr.: 

□ Zeichnungen, Blatt: 

3. □ Dieser Bericht ist ohne Berucksichtigung (von einigen) der Anderungen erstellt worden, da diese aus den 

angegebenen Grunden nach Auffassung der Behorde uber den Offenbarungsgehalt in der ursprunglich 
eingereichten Fassung hinausgehen (Regel 70.2(c)): 



4. Etwaige zusatzliche Bemerkungen: 



V. Begrundete Feststeitung nach Artikel 35(2) hinsichtlich der Neuheit, der erfinderischen Tatigkeit und der 
gewerblichen Anwendbarkeit; Unterlagen und Erklarungen zur Stutzung dieser Feststellung 

1. Feststellung 

Neuheit (N) Ja: Anspruche 1 

Nein: Anspruche 

Erfinderische Tatigkeit (ET) Ja: Anspruche 1 

Nein: Anspruche 

Gewerbliche Anwendbarkeit (GA) Ja: Anspruche 1 

Nein: Anspruche 



Fomnblatt PCT/IPEA/409 (Folder l-VIII, Blatt 1) (Januar 1994) 




INTERNATIONALER VORLAUFIGER 
PRUFUNGSBERICHT 



2. Unterlagen und Erklarungen 
siehe Beiblatt 



Formblatt PCT/lPEA/409 (Felder l-VIII, Blatt 2) (Januar 1994) 




Internationales Aktenzeichen PCT/EP99/07052 



A 



INTERNATIONALER VORLAUFIGER Internationales Aktenzeichen PCT/EP99/07052 
PRUFUNGSBERICHT - BEIBLATT ^_ 



Zu Punkt V 

1 . Es wird auf das folgende Dokument verwiesen: 

D1 = IEEE Infocom ' 93. The Conference On Computer Communications 
Proceedings. Twelfth Annual Joint Conference Of The IEEE 
Computer And Communications Societies. Networking: 
Foundation For The Future (cat. No.93CH3264-9) (28-03-1993), 
Vol.3, Seiten 1406-1413, "On the Design of Conference Key 
Distribution Systems for the Broadcasting Networks" 

2. Das Dokument D1 , das auf Seite 3 der Beschreibung erwahnt wird, offenbart 
(Seite 1409, Spalte 2, letzter Absatz - Seite 1410, Spalte 1) ein Verfahren zum 
Etablieren eines gemeinsamen Schlussels zwischen einer Zentrale (chairman) 
und einer Gruppe von n Teilnehmern. Es werden shares abgeleitet, und das 
(n+1,2n)-Threshold-Verfahren von 01 ist Equivalent zum (n,2n-1)-Threshold- 
Verfahren des Anspruchs 1 . 

Auch in D1 muB die Zentrale die geheimen Schliissel der Teilnehmer nicht 
kennen; es wird lediglich ein gemeinsamer Schlussel zwischen Teilnehmer und 
Zentrale benotigt (siehe D1, Seite 1410, Spalte 1, Absatz 1), der z.B. auf 
bekannter Weise (siehe Seite 1 der Anmeldung) aus den geheimen Schlussel des 
Teilnehmers und der Zentrale gebildet werden konnte, ohne daR die Zentrale den 
Schlussel des Teilnehmers kennen muB. 

3. Das Verfahren vom vorliegenden Anspruch unterscheidet sich dadurch von der 
Offenbarung des Dokuments D1, daB der gemeinsame Schlussel aus den 
Beitragen aller Gruppenmitglieder ermittelt wird. Das Risiko eines schwachen 
Schlussels wird somit weitgehend ausgeschlossen. 

4. Eine solche Vorgehensweise wird von den im Recherchenbericht zitierten 
Dokumenten weder offenbart noch nahegelegt. Der Gegenstand des Anspruchs 
wird deshalb als neu und erfinderisch betrachtet (Artikel 33.3 PCT). 



Formblatl PCT/Beiblatt/409 (Blatt 1) (EPA-April 1997) 



«uropaisches EP 009907052 
D1 - Dienststelle Berlin 



0?-200<t,8i35wo.2.doclP 

2 8. AUG. 2000 



AnI.: 

I 



Ein weiteres Verfahren zum gemeinsamen EtabUeren eines Schlussels ist aus DE 195 38 
385.0 bekaimt. Bei diesem Verfahren muD die Zentrale allerdings die geheimen Schlussel 
der Teilnehmer kennen. 

Wdterhin ist eine Losung aus Bunnester, Desmedt. A secure and effident conference key 
distribution system, Proc. EUROCRYPT'94. Springer LNCS. Berlin 1994 bekamxt, bei der 
zwei Runden zur Generierung des Schlussels benotigt werden, wobei in der zweiten Runde 
durch die Zentrale ffir n Teilnehmer n Nachrichten der Lange p = ca. lOOOBit gesendet 

10 werden mussen. 

Bekamit ist auch dn als (n,t)-Threshold-Verfahren bezeichnetes kryptographisches 
Verfahren. Mit einem (n,t)-Threshold-Verfahren kami man einen SchlQssel k so in t TeUe. 
die shadows genannt werden. zeriegen, daU dieser Schlussel k aus je n der t shadows 
rekonstruiert werden kami (vgl. Beutelspacher, Schwenk, Wolfenstetter: Modeme 

15 Verfahren der Kiyptographie (2. Auflage). Vieweg Verlag. Wiesbaden 1998). 

In IEEE Infocom '93. The Conference On Computer Communications Proceedings. Twelth 

Annual Joint Conference Of The IEEE Computer And Communications Societies. 

Networking: Foundation For The Future (cat. No.93CH3264.9) (28-03-1993). Vol.3, 
20 Seiten 1406-1413. ..On the Design of Conference Key Distribution Systems for the 

Broadcasting Networks" wird ein Verfahren zum EtabUeren eines gemeinsamen SchlQssels 
rwischen einer Zentrale (chairman) und einer Gruppe von n Teilnehmem beschrieben. bei 
dem ein Threshold-Verfahren zum Einsatz kommt. Bei dieser Ldsung wShlt die Zemrale 
(chairman) einen gemeinsamen Schlussel. Das Verfahren setzt einen sicheren Kanal 
25 zwischen dem chairman und den Teilnehmem voraus. Ein solcher sicherer Kanal kann z.B. 
mit dem oben angefuhrten DH-Verfahren [DH76] oder einer Variante etabliert werden. Pro 
Teilnehmer sind dazu jedoch zwei Nachrichten erforderlich, um zwischen den n 
Teilnehmem und der Zentrale (chairman) einen gemeinsamen Schlussel auszuhandeln und 
eine Nachricht um die ,.public shadows zu senden. 



30 



Damit sind zum EtabUeren des gemeinsamen Schlussels insgesamt 2n+l Nachrichten 
erforderUch. 



GEAENDERTES BLATT 



28-08-200C, 



«>813Swo_2-doclP 



10 



3q 



jEuropaische EP 009907052 
GDI - Dienststelle Berlin 

2 8. AUG. 2000 



Ani.: 



15 



Das vorUegende Verfehren zur Erzeugung eines gemeinsamen Schlussels zwischen einer 
Zentrale und oner Gmppe von mindestens drei Teilnehmem soU den gleichen 
Sicherheitsstandard wie das DH-Verfahren aufweisen. Das Verfahren soli dabei jedoch 
einfach zu implementieren sein und einen minimalen Rechenaufwand benotigen. 

Das erfindungsgemafie Verfehren, das dieser AufgabensteUung gerecht wird, basiert auf den 
gleichen mathematischen Stnikturen. wie das DH-Verfahren und weist daher vergleichbare 
Sicherheitsmerkmale auf. Im Vergleich zu den bisher vorgeschlagenen Gruppen-DH- 
Verfehren ist es wesentUch efBzienter im HinbUck auf Rechenaufwand und 
Konununikationsbedarf . 

Nachfolgend wird das Wirkprinzip des erfindungsgemaUen Verfehrens naher erlautert. 
Die Zentrale wird dabei mit Z bezeichnet, definierte Teanehmer am Verfahren mit Tl-Tn 
und jeder einzelne nicht konkret benannte Teilnehmer mit Ti. Die ofFentUch bekannten 
Komponenten des Verfahrens sind eine 5ffentUch bekannte mathematische Gruppe G. 



20 



25 



30 



GEAENDERTES BLATT 



28.08-200q^3135wo 2,doclP 



A EP 009907052 



vorzugsweise diemultiplikative Gruppe aUer ganzen Zahlen modulo einer groBen Primzahl 
p, und esin Element g der Gruppe G, vorzugsweise eine Zahl 0<g<p mit groDer 
multiplikativer Ordnung. Fiir die Gruppe G k5rmen jedoch auch andere geeignete 
mathematische Strukturen verwendet werden, z.B. die multiplikative Gruppe eines 
endlichen Korpers, oder die Gruppe der Punkte einer eUiptischen Kurve. 



Europaisches Patentamt 

GD1 - Dienststelle Berlin 

2 8. AUG. 2000 



AnI.: 



orm 



Das Verfahren veriauft in drei Arbeitsschritten. 

Im ersten Arbeitsschritt wird von jedem Teilnehmer Ti eine Nachricht der ! 
10 (Ti, g' mod p) an die Zentrale gesendet, wobei i eine mittels eines Zufallsgenerators 
gewahlte zufallige Zahl des Teilnehmers Ti ist. 

Im zweiten Arbeitsschritt wird in der Zentrale Z 

- eine zuMige Zahl z generiertund arjedenTeihiehmerTi die Zahl (gT modp 
15 berechnet. 

- Bei n Teilnehmem werden in der Zentrale Z dann aus diesen n Zahlen n shares mit Klfe 
eines an sich bekannten (n,2n-l) Threshold Verfahrens abgeleitet. 

- In der Zentrale Z werden n-1 weitere shares s*-s°*' ausgewahlt und zusammen mit der 
Zahl g* mod p an alle Teilnehmer Tl-Tn gesendet. 

20 

Im dritten Arbeitsschritt wird bei jedem Teilnehmer Ti der gemeinsamen Schlussel k 
berechnet, wobei 

- (g")' mod p = (gT rood p berechnet wird, 

_ daraus ein share des Threshold Verfahrens abgeleitet wird und 
25 - mit diesem share und s',...s'*-* als Geheimnis der gemeinsame Schlussel k ermittelt wird. 

Nachfolgend wird das erfindungsgemaCe Verfahren anhand eines konkreten Beispiels fur 
drei Teihiehmer A, B, und C sowie einer Zentrale Z naher erlSutert. Die Anzahl der 
Teibiehmer ist jedoch auf beliebig viele Teihiehmer erweiterbar. 
30 Bei diesem Beispiel betragt die Lange der Zahl p 1 024 Bit; g hat eine multiplikative 
Ordnung von mindestens 2"° . 



GEAENDERTES BLATT 



28-Oe-2COC,5g^35wo_Xdoc.lP 

S 

Das erfindungsgemaSe Verfahren lauft nach folgenden Verfahrensschritten ati 



10 



Europa-£PQQ9g-7052''t 
GDI - 1 ^ ^w..in 

2 8. AUG. 2000 



Anl.; 



15 



1 . Teilnehmer A, B und C senden g' mod p. g" mod p und g' mod p an die Zentrale Z. 

2. In der Zentrale Z wird g" mod p. g"" mod p und g° mod p berechnet. wobei jeweils die 
128 Least Significant Bits davon als shares Sa, sb bzw. sc verwendet werden. In der 
Zentrale Z wird mittels des (n,2n-l)-Threshold-Verfahrens ein Polynom P(x) uber einem 
endlichen Korper GF(2*") vom Grad 2 berechnet, das durch die Punkte (1,Sa), (2,Sb) 
xind (3,sc) geht und durch diese eindeutig festgelegt ist. Der gemeinsame Schlussel k ist 
der Schnittpunkt dieses Polynoms mit der y-Achse. d. h. k; =P(0). Die Zentrale Z sendet 
nun g' mod p. Si;=P(4) und S2;=P(5) an die Teihiehmer A, B und C. 

3. Beim TeUnehmer A wird (g*)* mod p berechnet. Im Ergebnis erhalt der Teilnehmer A mit 
den 128 Least Significant Bits dieses Wertes den share sa. der zusamraen mit den shares 
s, und S2 ausreicht. das Polynom P'(x) und damit auch den SchlQssel k zu bestimmen. Bei 
den Teihiehmem B und C wird analog verfahren. 

Das oben beschriebene Verfehren kommt mit der minimalen Anzahl von zwei Runden 
zwischen den Teilnehmem Tl-Tn und Zentrale Z aus. In der zweiten Runde kann der 
Aufwand fiir die von der Zentrale an die n Teilnehmer zu ubertragenden Zeichenfolgen im 
Gegensatz zu derLSsung von Burmester und Desmedt auf eine LSnge von jeweils 128 Bit 
pro Teilnehmer reduaert werden. 



GEAENDERTES BLATT 



EP 009907052 

28-0D-2C0C^^gj3g^^ j^j^jp --^^ ^Europaischeo r-ajwiianii 



( 1 ) Patentanspruch: 



GD1 - Dienststelle Berlin 
2 a AUG. 2000 



AnI.: 

I I 



1 Veifahren zum Etablieren eines gemeinsamen Schlussels k Twischen einer Zentrale Z 
und einer Gruppe von Teilnehmern Tl-Tn nut einer efifentlich bekannten 
5 mathematischen Gruppe G und einem Element g e G von grolier Ordnung in der 

Gruppe G, so daU fur die Gruppe G und das Element g die Berechnung des diskreten 
Logarithmus praktisch unmSglich ist, imd unter Verwendung eines an sich bekannten 
Threshold-Verfehrens, dadurch gckenn2eichnet,daB 

a) von jedem Teilnehmer Ti eine Zufallszahl i generiert und aus dem bekannten Element 
10 g eG und der jeweiligen Zufallszahl i von jedem TeUnehmer Ti der Wert g' berechnet 

und zur Zentrale Z gesendet wird, daB 

b) in der Zentrale Z eine Zufallszahl z generiert wird, daB aus der ZufaUszahl z und den 
empfengenen Werten g' die Werte (g'f in G berechnet werden, daB aus diesen Werten 
n shares (si.....s„) des Threshold-Verfahrens abgeleitet werden , und daB aus den shares 

15 (si,...,Sn) das (n,2n-l)-Threshold-Verfahren konstruiert wird, wobei das durch dieses 

Verfehren implizid gegebene Geheimnis der zu etablierende SchlQssel k ist, daB in der 
Zentrale Z n-1 weitere, von den shares (si,...,Sn) verschiedene shares (s„+i,...S2«.i) 
zusammen mit dem Wert g' in G berechnet und an die Teilnehmer Tl-Tn iibertragen 
werden, vmd daB 

20 c) bei jedem Teilnehmer Ti der zu etablierende Schlussel k dadurch rekonstruiert wird, 
daB aus dem von der Zentrale Z iibertragenen Wert g* und der Zufallszahl i des 
jeweiligen TeUnehmers Ti der Wert fur (g*) ' in G berechnet wird, daB aus dem 
resultierenden Wert mittels des Threshold Verfahrens der share Si abgeleitet wird und 
daB mit dem share Si und den von der Zentrale Z Qbertragenen shares (s»+u...S2».i) mit 

25 Hilfe des (n,2n-l)-Threshold- Verfahrens der Schlussel k rekonstruiert wird. 



GEAENDERTES BLATT 



Revised pages (German pages 3, 3a, 4, 5, 6) 

Another method for establishing a common key is known from the 
German Patent DE 195 38 385.0. In this method, however, the 
central station must know the secret keys of the subscribers. 

An approach is also known from Burmester, Desmedt, "A Secure 
and Efficient Conference Key Distribution System", Proc . 
EUROCRYPT ' 94 , Springer LNCS, Berlin 1994, where two rounds are 
required to generate the key, it being necessary to send n 
communications of a length of p = approx. 1000 bits through 
the central station for n subscribers in the second round. 
A cryptographic method described as the (n,t) threshold method 
is also known. In an (n,t) threshold method, a key k can be 
decomposed into t parts (referred to as shadows) , in such a 
way that this key k can be reconstructed from any n of the t 
shadows (see Beutelspacher , Schwenk, Wolf enstetter : Moderne 
Verfahren der Kryptographie (2nd edition) , Vieweg Publishers, 
Wiesbaden, 1998) . 

In IEEE Infocom '93, The Conference on Computer Communications 
Proceedings, Twelfth Annual Joint Conference of the IEEE 
Computer and Communications Societies, Networking: Foundation 
for the Future (cat. no. 93CH3264-9) (3/28/1993), vol. 3, pp. 
1406-1413, "On the Design of Conference Key Distribution 
Systems for the Broadcasting Networks" , a method is described 
for establishing a common key between a central station 
(chairman) and a group of n subscribers, where a threshold 
method is employed. In this approach, the central station 
(chairman) selects a common key. The method presupposes a 
secure channel between the chairman and the subscribers . A 
secure channel of this kind can be established, for example, 
using the DH method [DH76] indicated above, or a variant. 
However, for this, two communications are necessary for each 
subscriber, in order to negotiate a common key between the n 
subscribers and the central station (chairman) , and to 
transmit a communication around the "public shadows" . 
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Thus, altogether 2n+l communications are required in order to 
establish the common key. 

It is intended that the present method for generating a common 
key between a central station and a group of at least three 
subscribers have the same security standards as the DH method. 
In this context, however, the method should.be simple to 
implement and require minimal computational outlay. 

The method according to the present invention is equal to this 
task. It is based on the same mathematical structures as the 
DH method and, therefore, has comparable security features. In 
comparison to the group DH methods proposed in known methods 
heretofore, it is substantially more efficient with respect to 
computational outlay and communication requirements. 

The operating principle of the method according to the present 
invention is elucidated in the following. In this instance, 
the central station is denoted by Z, defined subscribers in 
the method by Tl-Tn, and every single subscriber, who is not 
specifically named, by Ti . The publicly known components of 
the method include a publicly known mathematical group G, 
preferably the multiplicative group of all integral numbers 
modulo a large prime number p, and an element g of the group 
G, preferably a number 0<g<p having a high multiplicative 
order. For group G, however, other suitable mathematical 
structures can also be used, e.g., the multiplicative group of 
a finite field, or the group of the points of an elliptical 
curve . 

The method is carried out in three work steps. 

In the first step, a communication in the form (Ti, g"- mod p) 
is sent by each subscriber Ti to the central station, i being 
a random number of subscriber Ti selected by a random number 
generator . 



NY01 364264 v 1 



2 



In the second work step, in central station Z: 

- A random number z is generated, and the number (g^) ^ mod p 
is calculated for each subscriber Ti . 

- From these n numbers, n shares are then differentiated 
for n subscribers in central station Z, using a generally 
known (n, 2n-l) threshold method. 

- n-1 further shares s^-s"""^ are selected in central station 
Z and sent, together with the number g^ mod p, to all 
subscribers Tl -Tn . 

In the third work step, the common key k is calculated for 
each subscriber Ti,- (g^)"^ mod p = (g^)^ mod p being calculated; 

- from this, a share of the threshold method being 
differentiated; and 

- on the basis of this share and s^,..,s'^"^, common key k 
being determined as the secret. 

On the basis of a practical example, the method according to 
the present invention is elucidated in the following for three 
subscribers A, B, and C, as well as a central station Z. 
However, the number of subscribers can be increased to any 
desired number. In this example, the length of number p is 
1024 bits; g has a multiplicative order of at least 2^^°. 

The method in accordance with the present invention is carried 
out in accordance with the following method steps: 

1. Subscribers A, B and C send g^ mod p, g^ mod p and g"= mod 
p to central station Z. 

2. g^^ mod p, g^^ mod p and g*^'' mod p are calculated in central 
station Z, in each case the 128 least significant bits 
thereof being used as shares S^, Sg and, respectively, Sq, 
In central station Z, applying the (n,2,-l) threshold 
method, a 2""^ degree polynomial P (x) , which passes through 
points (1,Sa), (2,Sb)/ and (3,3^) and is uniquely defined 
by these points, is calculated over a finite field 
QP(2i28) ^ Common key k is the point of intersection of 
this polynomial with the y-axis, i.e., k; =P(0). Central 
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station Z transmits mod p, Si;=P(4) and S2;=P(5) to 
subscribers A, B and C, 
3. For subscriber A, (g^)^ mod p is calculated. In the 

result, subscriber A having the 128 least significant 
bits of this value receives share s^, which, together with 
shares s^ and S2 is sufficient to determine polynomial 
P' (x) and, thus, also key k. One proceeds analogously for 
subscribers B and C. 

The method described above makes do with the minimum number of 
two rounds between subscribers Tl-Tn and central station Z. In 
contrast to the Burmester and Desmedt approach, the outlay for 
character strings to be transmitted by the central station to 
the n subscribers can be reduced in the second round to a 
length of 128 bits per subscriber. 
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■ - 0 m 

What is claimed is: 

1. A method for establishing a common key k between a 
central station Z and a group of subscribers Tl-Tn, 
comprising a publicly known mathematical group G and an 
element geG of a high order in the group G, so that for 
group G and the element g, the calculation of the 
discrete logarithm is virtually impossible, and with the 
use of a generally known threshold method, 
wherein 

a) a random number i is generated by each subscriber Ti 
and, from the known element geG and the random 
number i in question, the value g"^ is calculated by 
each subscriber Ti and transmitted to the central 
station Z; 

b) in the central station Z, a random number z is 
generated; from the random number z and the received 
values g^, the values (g^) ^ in G are calculated; from 
these values, n shares (Si,...,Sn) of the threshold 
method are derived; and 

from the shares (Si,,..,Sn), the (n,2n-l) threshold 
method is constructed, the secret implicitly given 
by this method being the key k to be established; 
in the central station Z, n-1 further shares 
(Sn+i/ -San-i) differing from shares (Si,...,Sn) are 
calculated, together with the value g^ in G, and 
transmitted to the subscribers Tl-Tn; and 

c) for each subscriber Ti, the key k to be established 
is reconstructed in that, from the value g'^ 
transmitted by the central station Z, and the random 
number i of the subscriber Ti in question, the value 
for (g"") in G is calculated; that from the resulting 
value, applying the threshold method, the share is 
derived, and that, on the basis of the share Si and 
the shares ( s^+i , —Ssn-i) transmitted by the central 
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station Z, the key k is reconstructed with the aid 
of the (n,2n-l) threshold method. 
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09/807176 

JC08 Rec'd PCJ/PTO Q 9 ^pp 20OI 



PROVISIONAL INTERNATIONAL International 

EXAMINATION REPORT Reference no. PCT/EP99/07052 

1. Basis for the Report 

2. This report was prepared on the basis of (substitute pages 
submitted to the Receiving Office in response to a request 
according to Article 14, are considered as "originally filed'' 
within the framework of this report, and are not enclosed with 
the report because they do not contain any amendments . ) : 

Specification, pages : 

1 , 2 original version 

3, 3a, 4, 5 filed on 8/28/2000 with letter of 8/8/2000 

Patent Claims, no. 

1 filed on 8/28/2000 with letter of 8/8/2000 

V. Substantiated determination pursuant to Article 35(2) with 
respect to novelty, inventive activity, and industrial 
applicability; documents and clarifications in support of this 
determination 

1 . Determination 

Novelty (N) Yes: Claims 1 

No: Claims 

Inventive Activity (ET) Yes: Claims 1 

No: Claims 

Industrial Applicability (GA) Yes: Claims 1 

No: Claims 

2 . Documents and Clarifications 
see enclosure 
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with respect to Point V 

1, Reference is made to the following document: 

Dl = IEEE Inf ocom ' 93 . The Conference on Computer 

Communications Proceedings. Twelfth Annual 
Joint Conference of the IEEE Computer and 
Communications Societies . Networking : 
Foundation for the Future (cat. no. 93CH3264-9) 
(3/28/1993), vol. 3, pp. 1406-1413, "On the 
Design of Conference Key Distribution Systems 
for the Broadcasting Networks" 

2. Document Dl, referred to on page 3 of the Specification, 
discloses (page 1409, column 2, last paragraph - page 
1410, column 1) a method for establishing a common key 
between a central station (chairman) and a group of n 
subscribers. Shares are derived, and the (n+l,2n) 
threshold method of Dl is equivalent to the (n,2n-l) 
threshold method of Claim 1 . 

In Dl as well, it is not necessary for the central 
station to know the secret keys of the subscribers; a 
common key between the subscribers and the central 
station is merely required (see Dl, page 1410, column 1, 
paragraph 1) , which, for example, in a generally known 
way (see page 1 of the Application) , could be generated 
from the secret key of the subscriber and the central 
station, without it be necessary for the central station 
to know the key of the subscriber. 

- The method of the present claim is thereby distinguished 
from the disclosure of document Dl in that the secret key 
is determined from the contributions of all group 
members. This substantially rules out the risk of a weak 
key. 
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A procedure of this kind is neither disclosed nor 
anticipated by any of the documents cited in the Search 
Report. The subject matter of the claim is, therefore, 
considered to be novel and inventive (Article 33.3 PCT) . 
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PCX 

ANTRAG 



Der Unterzeichnete beantragt, daB die vorliegende 
internationale Anmeldung nach dem Vertrag iibcr die 
internationale Zusammenarbeit auf dem Gebiet des 
Patentwesens behandelt wird. 



Vom AnmeldeamtauszufaUcn 



PCT/EP 9 9 / 0 7 0 5 2 

Internationales Aktenzeichen 



Internal 



Ml^WH 2? SEP 1939 



EUROPEAN PATENT OFFICE 
PCT INTERNATIONAL APPLICATION 
Name des Anmeldeamts und "PCT International ApplicaUon" 



^i^^f^'^**?! Anmelders oder Anwalts (falls gewunxht) 

. ^(max. 12 Zeichen) P981 35W0.1P 

Fdd Nr. I BEZEICHNUNG DER ERFINDUNG ' ' 

Verfahren zum Etablieren eines gemeinsamen 

Feld Nr. U ANMELDER 




Anmelders, 

DEUTSCHE TELEKOM AG 
Friedrich-Ebert-Allee 140 

531 13 Bonn 
Oeutschland 



j I Diese Person ist 
' — * gleichzeitigErfinde 



Telefonnr.: 



Teletaxnr.: 



Femschicibor.: 



.Staaisangchdrigkeit (Staat) : 



DE 



Sitz oder Wohnsitz (Staat): 



DE 



Diese Person ist Anmelder 
fUrfolgiende SbuLten: 



alle Besdni-'' 
mungsstaaten 



LgJ der Vmeirngten Staaten von Amerika |_| - «cin,g,cn 



r Suatcn von Amerika 



□ dieimZusaizifeld 
^gegebcncnStaaten 



SCHWENK;J6rg - 
Sudwestring 27 

64807 Dieburg - - 

■DE ■ ■ ^ ; - :\ , . ' 


.Diese Person ist: 
1 1 PUT Anmelder 

IXI Anmelder und Erfindcr j 

rn nur Erfinder (Wird dieses Kastchen 
i — J angekreuzt^sosinddienachstehenden 1 
Angabennichtnotig,) 1 


;>iaaisangenongkeit (Staat): 

DE 

1 Diese Penon ist Anmelder i— i ,ii-b-..^_ „ ..^ . 


Sitz Oder Wohnsitz (Staat)* 1 

DE 1 



AirfolgendeStaaten: 



^ mungsstaaien 



□ 



Iajie Bestimmun&sstaatenmitAusnahme rSJ] nur die VeretaiBten I 1 die im Zu«trfeid 
. derVemm8tenSuatenv«.An.erilca tiLjsua.„ von Amenta □ S^gebSl^en . 

\_J Weitere Anmeldefund/ qder (weitere) Erfinder sind auf einem Fortectzungsblatt angegcben. 

Feld Nr. IV ANWALT ODER GEMEINSAMER VERTR ETER; ZUSTELLANSCHRIFT ' 

ie folgende Pereon wird hiewnit bcstellt/ist besteUt woiden. um fiir den (die) Anmelder 1—1 , . 
ir den zustandigen intemationalen Behdrden in folgender Eigenschaft zu handeln als: I I •^n**'' 



Die 
vor 



ID 



gemeinsamcr 
Vcrtreter 



Name und Anschiift: (Fminemum^yonumf; MuristiscbenPersonenvolbtdndigeami^^^ 

Bei derAnschnft sutddie PostleUzM utid der Name des Stms^Mgeb^f ^' 

Deutsche Telekom AG 
Patentabteilung R151 
64307 Dannstadt 
Deutschland 



Telefonnr.: 

06151/83-58 42 



Tclefucnr.: 

06151/83-58 43 



Fenuchreibnr.: 



Formblatt PCT/RO/IOI (Blatt 1) (JuU 1998; Nachdmck JuU 1999) 



/ Siehe Anmerkungen ZU dJesem AntragsformuJar 



- Feld Nr. V BESTIMMUNG VON STAATEN 



m 



Pi;i/tP99/0/U 



Blatt Nr. 



Die fclgcndcn Bcslimmungcn nach Rcgcl 4.9 Absatz a wcrdcn hicrmit vorgcnommcn (biue die entsprechenden Kastchen ankreuzen: wenigsiens tin Kdstchen 
mufl artgekreuzi werden): 
' Region ales Patent 

□ AP ARIPO-Patent: GH Ghana. GM Gambia, KE Kcnia, LS Lesotho, MW Malawi, SD Sudan, SL Sierra Leone, 

SZ Swasiland, UG Uganda, ZW Simbabwc und jcdcr wcitcrc Staat, dcr Vcrtragsstaat des Hararc-Protokolls und dcs PCX ist 

□ EA Eurasisches Patent: AM Annenien. AZ Aserbaidschan, BY Belarus, KG Kirgisistan, KZ Kasachstan, MD Rcpublik 

Moldau, RU Russische Federation, TJ Tadschikistan, TM Turkmenistan und jedcr weitcre Slaat, der Vcrtragsstaat des 
Eurasischcn PatentUbercinkommens und des PCT ist 
g| EP Europaisches Patent: AT Ostcrreich. BE Belgien, CH und LI Schweiz und Liechtenstein, CY Zypern, 
DE Dcutschland. DKDancmark. ES S panicn, FIFinnland, FRFrankreich, GB Vcreinigtcs KOnigrcich, GR Griccheniand. 
IE Irland, IT Italicn, LU Luxemburg, MC Monaco, NL Niederlande, PT Portugal, SE Schweden und jeder weitcre Staat, 
der Vcrtragsstaat des Europ^schen Patenttibereinkommens und des PCT ist 

□ OA OAPI-Patent: BF Burkina Faso, BJ Benin, CF Zentralafrikanische Rcpublik, CG Kongo, CI Cote d'lvoire. 

CM Kamerun, GA Gabun, GN Guinea, GW Guinea-Bissau, ML Mali, MR Mauretanien, NE Niger, SN Senegal, 
TD Tschad, TG Togo und jeder weitcre Staat, dcr Vcrtragsstaat der OAPI und des PCT isi(falis eine andert Schuarechtsart 

oder tin sonstiges Verfakren gewiinscht wird, bitte auf der gepunkteten Linie angeben) 

Nationales Patent (falls eine andere Sehuareckisart oder ein sonstiges Vetfahren gewUnseht wird, biUe auf der gepunkuun Linie angeben): 



□ 
□ 
□ 
□ 
□ 
□ 
□ 
□ 
□ 
□ 
□ 
□ 
□ 
□ 
□ 

□ 
□ 
□ 
□ 

□ 
□ 
□ 
□ 
□ 
□ 
m 
□ 

El 

□ 
□ 

□ 
□ 
□ 

□ 
□ 
□ 
□ 



AE 
AL 
AM 
AT 
AU 
AZ 
BA 
BB 
BG 
BR 
BY 
GA 



Vereinigte Arabische Emirate □ 

Albanicn CD 

Armenien □ 

Ostcrreich □ 

Australten D 

Aserbaidschan O 

Bosnicn-Hcrzegowina □ 



Barbados LJ 

Bulgaricn . . 

Brasiiien □ 

Belarus □ 

Kanada ■ D 

CH und LI Schweiz und Liechtenstein O 

,CN China . : □ 

CU Kiiba . . : . , . . . .... : . . . .... □ 

CZ Tsfchcchische Rcpublik □ 

DE E>cutschland □ 

DK Dkncmark □ 

EE Estland □ 

ES Spanien Q 

FI Finnland □ 

GB Vercinigtes Kdnigreich O 

GD Grenada O 

GE ;Gcorgicn □ 

CH Ghana - - - - • . - □ 

GM Gambia □ 



HR 

HU 

ID 

IL 

IN 

IS 

JP 

KE 

KG 

KP 

KR 
KZ 
LC 
LK 



Kroatien CI 

Ungam □ 

Indonesicn Q 

Israel □ 

Indicn H 

Island 

Japan O 

Kcnia CD 

Kirgisistan C] 

Demokratische Volksrcpublik Korea □ 



LR Liberia 

LS Lesotho 

LT Litauen 
LU Luxemburg 
LV LetUand 

MD Rcpublik Moldau 

MG Madagaskar 

MK Die ehemaiige jugoslawische Rcpublik 

Mazedonien 

MN Mongolei 

MW Malawi ^ 

MX Mexiko ......... . 

NO Norwegcn 

NZ Neuseeland 

PL Polcn : , , . .,. . ..... .. .. • 

PT^ Portugal 

RO Rum&nicn 

RU Russische Federation 

SD Sudan 
SE Schweden 
SG Singapur 

SI Slowenien 

SK Slowakei 

SL Sierra Leone 

TJ Tadschikistan 

TM Turkmenistan 

TR TUrkei 

TT Trinidad und Tobago 

UA Ukraine 

UG Uganda 

US Vereinigte Staaten von Amerika 



UZ 
VN 
YU 
ZA 



Usbekistan 
Vietnam . . . 
Jugoslawicn 
SUdafrika . . 



□ ZW Simbabwc 



Rcpublik Korea Kitchen fUr die Bestimmung von Staaten , die dem PCT nach der 

Kasachstan VcrOffcntlichung dieses Formblatts bcigctretcn sind: 



Saint Lucia 
Sri Lanka 



□ 
□ 



ErklSning bzcL vorsorglicher Bestimmungen: Zusfttziich zu den oben genannten Bcstimmungen nimmt der Anmeldcr nach 
Regel 4.9 Absatz b auch alle andcrcn nach dem PCT zulassigcn Bestimmungen vor mit Ausnahmc der im Zusatzfcld genannten 
Bestimmungen. die von dieser Erklfirung ausgenommen sind. Dcr Anmeldcr crklflrt, daB diesc zusatzlichcn Bestimmungen unter 
dem Vorbehalt eincr Bestfttiguna stchen und Jede zusatzliche Bestimmung, die vor Ablauf von 1 5 Monatcn ab dem Pnonlfltsdatum 




Jestdtigungsgeb iihr. 



2£ 



Formblatt PCT/RO/101 (Blatt 2) (Juli 1999) 



Siehe Anmerkungen zu diesem Artsragsformular 



BlattNr. 



PCT/EP 9 9/0705 



Feld Nr. VI PRIOR TTATS; 

Anmeldedatum 
der frtlheren Anmeldung 
(Tag/Monat/Jahr) 

Zeile(l) 

09.Oktober 1998 
(09.10,1998) 



Zeile(2) 



ISPRUCH 

Aktenzeichen 
der frtlheren Anmeldung 



19847944.1 



regionales Amt 



DE 



ZeUe(3) 



intemationale Anmeldung: 
Anmeldeamt 



I ' FJf^zi^^LffiS^^^^^^^ 

I Feld Nr.Vn INTERNATIONALERECHERCHENBE HQRnF. 

itionalen Recli»rrhMiK*hA«^. ncAv I & » .. 



w&den. der 
wurde. 



• ^us/OAnjn^ der intemationalen Recherche 
derZwei^uchstaben-Codekannbenutztwerden): 

(ISA/EP 

I Feld Nr. Vni KONTRQLLISTE; EINREICHUNGSSPRACHE 



Datum (Tag/Monat/Jahr) Aktenzeichen Staat (oder regionales. Am) 



Diese intemationale Anmeldung enthalt 
die folgende Anzahl von Blattem: 

Antrag . : 4 ■ 

Beschreibuhg (ohne ' 
Seqiienzprotokpliteil) ; : S . 

Ansprilche : 1 : 

I Zusanunenfassungr- - : 1. 

Zeichnungen : — 

Sequenzprotokollteil 
derBeschreibung : — 



Blattzahl insgesamt 
AbbUdu 



11 



Dieser intemationalen Anmeldung HegendienachstehendangekreuztenUnterlagenbci- 

1. g| BlattfUrdieGebtthrenberechnung . 

2. □ GesonderteunterzeichneteYollmacht i 

3. H kopiederaUgeikeinen Vollm^^^ 

4. □ BegrttodungfllrdasFehleneiner Unterschrift V 

5. □ P^pritatsbeleg(e),ihFeldNr. ^ ^ 

folgende Zeilennummer gekennzeichneC 

6. □ pbersetzimg der intemationalOT Anmeldung in 

7. □ Gesonderte Angaben zu hinterlegten Miknwiganismen oder andeiem biologischen Material 

8. □ ProtokoUderNucleotid-und/oderAminosauresequenzenincomputerlesb^ 

9. □ Sonstige(e£nzeinatfj7SAre/ij;Zusatzblatt4 



Sprache, in der die 
intemationale Anmeldung 
eineereicht wird: * CieUtSCh 



I I eineereicht wird: 

Feld Nr. IX UNTERSCHRIFT PES ANMELDE RS ODER DES ANWALTS 



g^1?lg'ggg^CTer^^aa^^^^ " ^st ^mugeten. soL sich dies nictt eMeuUg 

Deutsche Telekom AG 



LA. 



Rolf Henn, Rfeferent der Patentabteiliing 
EPA-Vollmacht 38692 



Fortsetzung Blatt 4 



1. Datum des tatsachJichen Eingangs dieser 
intemationalen Anmeldung: 



3. Geandeite Eingangsdatum aufgnmd nachtrigliclu iedoch 
fnstfierecht emgegangCTier Unterlagen oder Zeichnungen 
zur Vervollstanaigung dieser mtemationalen AnmeldiAg- 



• Vom Anmeldeamt auszufUlien . 

(2 2. Oa 99 ) 



22 SEP 1999 



L Dahmides&istgerechtenEingangsderange 
Richtigstellungen nach Aitikel 1 1(2) PCX: 



teforderten 



2. Zeichnungen 

□ 



emge- 
gangen: 



□ nicht ein- 
gegangen: 




ForaiblattPCT/RO/101 (letztesBlan)(Juli 1 998; Nachdmck Juli 1999) 



Siehe Anmerkungen zu diesem Antragsformular 



BlattNr. .4 ^ PCT/EP 9 9 / 0 7 0 5 



Zusatzfeld Wird dieses Zusatzfeld nicht benutzt, so soUte dieses Blatt dem Antrag nicht beigefiigt werden. 



1 . Weim derPlatzia einem FddaicbtfikraUeAngabea ausreicht: In diesem Fallschreiben Sie "Fortsetzung von FeldNr. ... " [Nummer 
desFeidesangeben] undmachen dieAngaben entsprechendderin dem Feld, in dem derPlatz nicht ausreicht, vorgeschriebenenAatind 
Weise, insbesondere: 

(i) WennmebralsiweiAiuDelderiind/oderErGndervorbandensindundkein ''Fortsetzungsbiatt" zurVerfugungsteht: Indiesem 
Fail schreiben Sie "Fortsetzung von Feid Nr. Ill " and machen fiir Jede weitere Person die in Feld Nr. Ill vorgeschriebenen 
Angaben. Der in diesem Feld in der Anschrift angegebene Staat ist aer Staat des Sitzes oder Wohnsitzes des Anmeiders, sofem 
nachstehend kein Staat des Sitzes oder Wohnsitzes angegehen ist. 

(ii) Wenn in Feid Nr. U oder ID die Angabe "die an Zusatzfeld angegebenen Stastea " ansekreuzt ist: In diesem Fall schreityen Sie 
'Fortsetzung von Feld Nr. II 'Fortsetzung von Feid Nr. Ill " bzw. "Fortsetzung von FeldNr. II undNr. Ill " undgeben den Namen 
des Anmeiders oder die Namen der Anmeider an und nebenjedem Namen den Staat oder die Staaten (und/oder ^ ARIPO-, 
eurasisches, europaisches oder OAPI-Patent), fur die die bezeichnete Person Aiunelder ist. 

(Hi) W&m der in Feld Nr. II oder III senannte ErEnder oder ErSnder/Anmelder nicht fur aOe Besthnmung^staaten oder fur die 
Vereinigten StaBten won Amenka ais ErGnder benaiwi at: In diesem Fall schreiben Sie "Fortsetzung von Feld Nr. II 
'Fortsetzung von Feld Nr. Ill " bzw. "Fortsetzung von FeldNr. II und Nr. Ill " undgeben den Nam&i des Erfinaers oder die Namen 
der Erfinder an und nebenjedem Namen den Staat Oder die Staaten (und/oder ggf.ARIPO-, eurasisches, europaJschesoderOAPI- 
Patent), fiir die die bezeichnete Person Erfinder ist. 

Ov) Wenn zusMtzlich zu dem Anwalt oder den Anwalten. die In Feld Nr. Nangegeben sind, weitere AnwMte bestellt sind: In diesem 
Fall schreiben Sie 'Fortsetzung von Feld Nr. IV und machen fiir Jeden welteren Anwalt die entsprechenden, in Feld Nr. IV 
vorgeschriebenen Angaben. 

(v) WenninFeldNr. Vbelelitem Staat (oder beiOAPI) die Angabe ''Zusatipatent'' oder ''ZusatzzeriiBkat'' oder wenn V 
bei den Vereinigten Staaten von Amerlka die Angabe Tartsetmng" oder Teiifortsetzung" hlnzugdugt wlrd: In diesem Fall 
schreiben Sie 'Fortsetzungyon Feld Nr. V undgeben den Namen des betreffenden Staats (oder OAJ^I) an und nach dem Namen 
JedessolchenStaats (oderuAPI) das Aktenzeichen des Hauptschutzrechts oder der Hauptschutzrechtsanmeldung und das Datum 
der Erteiiung des Hauptschutzrechts oder der Einreichung der Hauptschutzrechtsanmeldung. 

(vl) Wenn In Feld Nr, VI die PrioritSt von mettr als drei Mlieren Axuneldungen beansprucbt wird: In diesem Fall schreiben Sie 
'Fortsetzungvon FeldNr. VI" tmd machen fiu-Jede weitere tiihereAnmeldung die entsprechenden. In FeldNr VI vorgeschriebenen 
Angaben. 

(vil) WenninFeldNr. VldieMiiereAnmeldungeineARIPOAnmeidunglst: In diesem Fall schreiben Sie "Fortsetzung von Feld 
:y'.Nr. VI' undgetfen, unter Angabe der Nummer der Zelle, In der die die tiihereAnmeldung betreffenden Angaben gemacht slnd, 
'•.\: talndestensemenStaatan.derMitgUedderPariserVerbandsubereinkunkzamSchutzdesg^ 
die fruhere Anmeldung erfolgte. 

2. ;iWenn,lmHlnbUckaufdleEMUSiwgb^LvoTS0TgUch V der Anmeider Staaten von dleserErklarung 
ausnehmen mochte: In diesan Fall schreiben Sie ''BestimmuTig(en), die von der Erklarung bzgl vorsorghctier Bestlmmungen 
au^enommen lst(slnd) ' undgeben den Namen oder den Zwelbucnstaoen-Code Jedes so ausgeschlossenen Staates an. 

3. Wenn der Anmdder fur IrgendelnBestlmmungsamt die VoneUenatlonalerVorschrlftenbetreffen^ 

Ausaialutten von der NeubettsscbSdticiMiieit in Anspruch nimmt: In diesem Fall schreiben Sie "Erklarung betreffend unschadllche 
OfTenbarung oder Ausnahmen von der Neuheitsschadlichkeit " und geben im foigenden die entsprechende Erklarung ab. 



Die Unterschrift des Erfinders bzw. Anmeiders und die Prioritatsbescheintgung wird nachgereicht. 
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VERTRAG^ER DIE INTERNATIONALE ZUS^^I EN ARBEIT 
AUF DEM GEBIET DES PATENTWESENS 

PCT 

INTERNATIONALER RECHERCHENBERICHT 

(Artikel 18 sowie Regein 43 und 44 PCT) 



Aktenzeichen des Anmelders Oder Anwalts 
P98135W0.1P 


WEITERES siehe Mitteilung uber die Ubermittlung des internationalen 

Recherchenberichts (Formblatt PCT/ISA/220) sowie, soweit 
VORGEHEN zutreffend, nachstehender Punkt 5 


Internationales Aktenzeichen 
PCT/EP 99/07052 


Internationales Anmeldedatum 
(Tag/Monat/Jahr) 

22/09/1999 


(Fruhestes) Prioritatsdatum (Tag/Monat/Jahr) 

09/10/1998 


Anmelder 

DEUTSCHE TELEKOM AG ET AL 



Dieser Internationale Recherchenbericht wurde von der Internationalen Recherchenbehorde erstellt und wird dem Anmelder gemaB 
Artikel 18 ubermittelt. Eine Kopie wird dem Internationalen Buro ubermittelt. 

Dieser Internationale Recherchenbericht umfafBt insgesamt _3 Blotter. 

[T] Daruber hinaus liegt ihm jeweils eine Kopie der in diesem Bericht genannten Unterlagen zum Stand der Technik bei. 



1 . Grundlage des Berichts 

a 



Hinsichtlich der Sprache ist die internationale Recherche auf der Grundlage der internationalen Anmeldung in der Sprache 
durchgefuhrt worden, in der sie eingereicht wurde, sofern unter diesem Punkt nichts anderes angegeben ist. 



□ 



2. 

3. 



Die internationale Recherche ist auf der Grundlage einer bei der Behdrde eingereichten Ubersetzung der internationalen 
Anmeldung (Regel 23.1 b)) durchgefuhrt worden. 

Hinsichtlich der in der internationalen Anmeldung offenbarten Nucleotid- und/oder Aminosauresequenz ist die internationale 
Recherche auf der Grundlage des Sequenzprotokolls durchgefuhrt worden, das , . 

I I in der internationalen Anmeldung in Schriflicher Form enthalten ist. 

zusammen mit der internationalen Anmeldung in computerlesbarer Form eingereicht worden ist. 
bei der Behdrde nachtraglich in schriftlicher Form eingereicht worden ist. 
bei der Behorde nachtraglich in computerlesbarer Form eingereicht worden ist. 

Die Erklarung, daB das nachtraglich eingereichte schriftliche Sequenzprotokoll nicht uber den Offenbarungsgehalt der 
internationalen Anmeldung im Anmeldezeitpunkt hinausgeht, wurde vorgelegt. 

I I Die ErklSrung, dafB die in computerlesbarer Form erfaBten Informationen dem schriftlichen Sequenzprotokoll entsprechen, 
wurde vorgelegt. 

I I Bestimmte Anspruche haben sich als nicht recherchierbar erwiesen (siehe Feld I). 
I I Mangelnde Einheitlichkeit der Erfindung {siehe Feld II). 



□ 
□ 
□ 
□ 



4. Hinsichtlich der Bezeichnung der Erfindung 

|~X~| wird der vom Anmelder eingereichte Wortlaut genehmigt. 
I I wurde der Wortlaut von der Behorde wie folgt festgesetzt: 



Hinsichtlich der Zusammenfassung 

wird der vom Anmelder eingereichte Wortlaut genehmigt. 

wurde der Wortlaut nach Regel 38.2b) in der in Feld III angegebenen Fassung von der Behorde festgesetzt. Der 
[ I Anmelder kann der Beh6rde innerhalb eines Monats nach dem Datum der Absendung dieses internationalen 
Recherchenberichts eine Stellungnahme vorlegen. 

Folgende Abbildung der Zeichnungen ist mit der Zusammenfassung zu veroffentlichen: Abb. Nr. 



I I wie vom Anmelder vorgeschlagen [X] keine der Abb. 

I I weil der Anmelder selbst keine Abbildung vorgeschlagen hat. 
I I weil diese Abbildung die Erfindung besser kennzeichnet. 
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INTERNATIONALE|yCHERCHENBERICHT 



Ir^^Mtionales Aktenzeichen 

^^EP 99/07052 



A. KLASSIFIZIERUNG DES ANMELDUNGSGEGENSTANDES 

IPK 7 H04L9/08 



Nach der Internationalen Patent kl ass if ikat ton (IPK) Oder nach der nationalen Klassifikation und der IPK 



B. RECHERCHIERTEGEBIETE 



Recherchierter Mindestprufstoff (Klassifikationssystem und Klassifikationssymbole ) 

IPK 7 H04L 



Recherchlerte aber nicht zum Mindestprufstoff gehorende Veroffentlichungen, soweit diese unter die recherchierten Gebiete fallen 



Wahrend der internationalen Recherche konsultierte elektronische Datenbank (Nam© der Datenbank und evtl. verwendete Suchbegriffe) 



C. ALS WESENTLICH ANGESEHENE UNTERLAGEN 



Kategorie** Bezaichnung der Veroffentlichung, soweit erforderlich unter Angabe der in Betracht kommenden Teile 



Betr. Anspruch Nr. 



LAIH C -S ET AL: "On the design of 
conference key distribution systems for 
the broadcasting networks" 
IEEE INFOCOM ' 93. THE CONFERENCE ON 
COMPUTER COMMUNICATIONS PROCEEDINGS. 
TWELFTH ANNUAL JOINT CONFERENCE OF THE 
IEEE COMPUTER AND COMMUNICATIONS 
SOCIETIES. NETWORKING: FOUNDATION FOR THE 
FUTURE (CAT. N0.93CH3264-9), 
28. Marz 1993 (1993-03-28) 
- 1. April 1993 (1993-04-01), Seiten 
1406-1413 vol.3, XP000419708 
Los Alamitos, CA, USA, IEEE Comput. Soc. 
Press, USA ISBN: 0-8186-3580-0 
Seite 1409, Spalte 2, letzter Absatz 
-Seite 1410, Spalte 1 

-/-- 



Weitere Veroffentlichungen sind der Fortsetzung von Feld C zu 
entnehmen 



Siehe Anhang Patentfamilie 



* Besondere Kategorien von angegebenen Veroffentlichungen 

"A" Veroffentlichung, die den allgemeinen Stand der Technik definiert, 
aber ntcht als besonders bedeutsam anzusehen ist 

"E" alteres Dokument, das jedoch erst am Oder nach dem internationalen 
Anmeldedatum veroffentlicht worden ist 

"L" Veroffentlichung, die geeignet ist, einen Prioritatsanspruch zweifelhaft er- 
scheinen zu lassen, Oder durch die das Veroffentlichungsdatum einer 
anderen im Recherchenbericht genannten Veroffentlichung belegt werden 
soil Oder die aus etnem anderen besonderen Grund angegeben ist (wie 
ausgefuhrt) 

"O" Veroffentlichung, die sich auf eine mundliche Offenbarung, 

eine Benutzung, eine Ausstellung oder andere MaOnahmen bezieht 
"P" Veroffentlichung, die vor dem internationalen Anmeldedatum, aber nach 
dem beanspruchten Prioritatsdatum veroffentlicht worden ist 



"T" Spatere Veroffentlichung, die nach dem internationalen Anmeldedatum 
Oder dem Prioritatsdatum veroffentlicht worden ist und mit der 
Anmeldung nicht kollidiert, sondern nur zum Verstandnis des der 
Erfindung zugrundeliegenden Prinzips oder der ihr zugrundeliegenden 
Theorie angegeben ist 

"X" Veroffentlichung von besonderer Bedeutung; die beanspruchte Erfindung 
kann allein autgrund dieser Veroffentlichung nicht als neu oder auf 
erf inderischer Tatigkeit beruhend betrachtet werden 

'Y" Veroffentlichung von besonderer Bedeutung; die beanspruchte Erfindung 
kann nicht als auf erfinderischer Tatigkeit beruhend betrachtet 
werden, wenn die Veroffentlichung mit einer oder mehreren anderen 
Veroffentlichungen dieser Kategorie in Vertjindung gebracht wird und 
diese Verbindung fur einen Fachmann naheliegend ist 

"&" Veroffentlichung, die Mitglied derselben Patentfamilie ist 



Datum des Abschlusses der internationalen Recherche 

29. Dezember 1999 


Absendedatum des internationalen Recherchenberichts 

24/01/2000 


Name und Postanschrift der Internationalen Recherchenbehorde 

Europaisches Patentamt, P.O. 5818 Patentlaan2 
NL - 2280 HV Rljswijk 
Tel. (+31-70) 340-2040. Tx. 31 651 epo nl. 
Fax: (+31-70) 340-3016 


Bevollmachtigter Bediensteter 

Zucka, G 



Formblatt PCT/lSA/210 (Blatt 2) (Jul! 1992) 



Seite 1 von 2 



INTERNATIONALE 



CHERCHENBERtCHT 



Inl^^Honales Aktenzeichen 
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C.<Fortsetzung) ALS WESENTLICH ANGESEHENE UNTERLAGEN 


Kategorie** 


Bezeichnung der Veroffentlichung, soweit erforderlich unter Angabe der in Betracht kommenden Teile 


Betr. Anspruch Nr. 


A 


EP 0 768 773 A (DEUTSCHE TELEKOM AG) 


1 




16. April 1997 (1997-04-16) 






in der Anmeldung erwahnt 






Spalte 2, Zeile 23 -Spalte 3, Zeile 22 






A 


STEINER M ET AL: "Diffie-Hellman key 


1 




distribution extended to group 






communication" 






3RD ACM CONFERENCE ON COMPUTER AND 






COMMUNICATIONS SECURITY, PROCEEDINGS OF 






3RD ACM CONFERENCE ON COMPUTER AND 






Pr^MMI IM T P AT T HM C C CP 1 IDT TV MCI.I nCI UT TMHTA 

LUrnrlUNlLAI iUIMo otLUKllY, NLW UtLHl , INDIA, 






14. - 16. Marz 1996, Seiten 31-37, 






XP000620975 






New York, NY, USA, ACM ISBN: 0-89791-829-0 






in der Anmeldung erwahnt 






Selte 34 




A 


— 

BURMESTER M ET AL: "A secure and 


1 




efficient conference key distribution 






system" 






ADVANCES IN CRYPTOLOGY - EUROCRYPT '94. 






WORKSHOP ON THE THEORY AND APPLICATION OF 






CRYPTOGRAPHIC TECHNIQUES. PROCEEDINGS, 






PROCEEDINGS OF EUROCRYPT '94, PERUGIA, 






1 1 ALT , nAY 1994, beiten ^/b-^oD, 






XP000852509 






1995, Springer-Verlag, Germany ISBN: 






3-540-60176-7 






in der Anmeldung erwahnt 






Seite 277, letzter Absatz -Seite 282 

— 




A 


DIFFIE W ET AL: "New directions in 


1 




cryptography" 






IEEE TRANSACTIONS ON INFORMATION THEORY, 






NOV. 1976, USA, 






Bd, IT-22, Nr. 6, Seiten 644-654, 






XP000565260 






ISSN: 0018-9448 






in der Anmeldung erwahnt 






Seite 647, Spalte 2 -Seite 649 





Fomnblatt PCT/ISA/210 (Fortsetzung von Blatt2) (Juli 1992) 



Seite 2 von 2 



INTEf^VIONAL SEARCH REPORT 

Information on patent family members 



It 
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Patent document 
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Publication 
date 



Patent family 
member(s) 



Publication 
date 



DE 


19538385 
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17-04-1997 
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15-11-1999 


AU 
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DE 
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NO 


962672 
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15-04-1997 


NZ 
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5903649 
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11-05-1999 



EP 0768773 



16-04-1997 



Form PCT/ISA/210 (patent family annex) (July 1992) 



INTERIiiKIONAL SEARCH REPORT 



l^^B onol Application No 

PCVEP 99/07052 



A. CLASSIFICATION OF SUBJECT MATTER 

IPC 7 H04L9/08 



According to International Patent Classification (IPC) or to both national classification and IPC 



B. FIELDS SEARCHED 



Minimum documontation searched (classification system lolfowed by classification symbols) 

IPC 7 H04L 



Documentation searched other than minimum documentation to the extent that such documents are Included in the fields searched 



Electronic data base consulted during the International search (name of data base and, where practical, search terms used) 



C. DOCUMENTS CONSIDERED TO BE RELEVANT 



Category Citation of document, with indication, where appropriate, of the relevant passages 



Relevant to daim No. 



V./ 



LAIH C -S ET AL: "On the design of 
conference key distribution systems for 
the broadcasting networks" 
IEEE INFOCOM ' 93. THE CONFERENCE ON 
COMPUTER COMMUNICATIONS PROCEEDINGS. 
TWELFTH ANNUAL JOINT CONFERENCE OF THE 
IEEE COMPUTER AND COMMUNICATIONS 
SOCIETIES. NETWORKING: FOUNDATION FOR THE 
FUTURE (CAT. N0.93CH3264-9), 
28 March 1993 (1993-03-28) 
- 1 April 1993 (1993-04-01), pages 
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' Special categories of cited documents : 
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"E" earlier document but published on or after the international 
riling date 

"L" document which may throw doubts on priority claim (s) or 
which is died to establish the publication date of another 
citation or other special reason (as specified) 

"O" document referring to an oral disclosure, use. exhibition or 
other means 

'P" document published prior to the international filing date but 
later than the priority date claimed 



T" later document published after the international filing date 
or priority date and not in conflict with the application but 
cited to understand the principle or theory underlying the 
invention 

"X* document of particular relevance; the claimed invention 
cannot be considered novel or cannot be considered to 
involve an inventive step when the document is taken alone 

"Y" document of particular relevance: the claimed invention 

cannot be considered to involve an inventive step when the 
document is combined with one or more other such docu> 
ments. such combination being obvious to a person skilled 
in the art. 

document member of the same patent family 



Date of the actual completion of the international search 



29 December 1999 



Date of mailing of the international search report 
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Authorized officer 



Zucka. G 



Form PCT/lSA/21 0 (second sheet) (July 1992) 



oaae 1 of 2 



INTERNAXIPNAL SEARCH REPORT 



.onal Application No 

7EP 99/07052 



C.(Contfnuation) DOCUMENTS CONSIDERED TO BE RELEVANT 




Citation of document, with indication.wti9ro appropriate, of the relevant passages 


Relevant to claim No. 




EP 0 768 773 A (DEUTSCHE TELEKOM AG) 


1 




16 Aori! 1997 f 1997-04-16) 






r^i'hpri in thp aDDliration 






rnlumn P linp 2*^ — rnlumn 3 line ?? 




A 


^TFTNFR M FT AL- "Di f f i p-Hp1 Iman kpv 


1 




rli ctri hilt" 1 nn pyhpniipH fn nmiin 






CUilUIIUfI 1 U^a w 1 ull 






IRn APM rnNFFRFNPF ON mMPIITFR AMD 






COMMUNICATIONS SECURITY PROCEEDINGS OF 






3RD ACM CONFERENCE ON COMPUTER AND 






COMMUNICATIONS SECURITY, NEW DELHI, INDIA, 






14 - Ifi Marrh 1996 naap« 'W-'M 

Xv rial V^ll X77w* ^O^CO kj X *J 1 f 












Npw York NY USA ACM ISBN* 0-89791-829-0 






L> 1 LcU III Lllc afJ^ 1 IL.aLIUII 






Payc 




A 


RIIRMP^TPP M FT Ai • "A coniro anii 


i 




eTTicient uonrereiiL-c Key aistrioution 






sy 5 tein 






AnVANrF<^ TN CRYPTni ORY - FIIROrRYPT 'Qd 












PRYPTOriRAPHTr TFrHNTnilF<^ PROfFFn TNfl<i 






PROCEEDINGS OF EUROCRYPT "94, PERUGIA, 






ITALY, 9-12 HAY 1994, pages 275-286, 












X77W) opi iiiyci vci lay, utrr iiiauy x «joii ■ 






J D4U OUl/O / 






citea in tne appi ication 






paye Ci I , 1 dd u parayrapn paQ6 




A 


uirrit w CI ML. Mew uircCtions in 


X 




ui ypuuyr cipiiy 






IEEE TRANSACTIONS ON INFORMATION THEORY, 






NOV. 1976, USA, 






vol. IT-22, no. 6, pages 644-654 , 






XP000565260 






ISSN: 0018-9448 






cited In the application 






page 647, column 2 -page 649 





Foim PCT/ISA/210 (continuation of second sheetj (July 1992) 



oaae 2 of 2 



INTE 



RNAT 



nONAL SEARCH REPORT 



lation on patent family memt>ers 



1 



onal Application No 

T/EP 99/07052 



cited in search report 


date 

1 ^ 


Patent family 
memt>er(s) 


Publication 
date 


EP 0768773 A 


16-04-1997 


DE 


19538385 


A 


17-04-1997 






AT 


186432 


T 
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AU 
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wo 00/22776 1 PCT/EP99/07052 

Verfahren zum Etablieren eines gemeinsamen Schlussels zwischen einer Zentrale und 
einer Gruppe von Teilnehmern 

Beschreibung: 

5 Die Erfindung betriffi ein Verfahren zum Etablieren eines gemeinsamen Schlussels zwischen 
einer Zentrale und einer Gruppe von Teilnehmern gemaB dem OberbegriflFdes unabhangigen 
Anspruchs. Verschlusselungsverfahren in vielfaltiger Art gehoren zum Stand der Technik 
und haben zunehmend kommerzielle Bedeutung. Sie werden dazu eingesetzt, Nachrichten 
uber allgemein zugangliche tJbertragungsmedien zu ubertragen, wobei aber nur die Besitzer 

10 eines Krypto-Schliissels diese Nachrichten im Klartext lesen kbnnen. 

Ein bekanntes Verfahren zur Etablierung eines gemeinsamen Schlussels iiber unsichere 
Kommunikationskanale ist z. B. das Verfahren von W. DiflSe und W. Hellmann ( siehe DH- 
Verfahren W. Dffie und M. Hellmann, siehe New Directions in Cryptography, IEEE 
Transaction on Liformation Theory, IT-22(6):644-654, November 1976) 

15 Grundlage des DH-Schliisselaustauschs [DH76] ist die Tatsache, dal3 es praktisch 
unmoglich ist, Logarithmen modulo einer groBen Primzahl p zu berechnen. Dies machen 
sich Alice und Bob in dem unten abgebildeten Beispiel zunutze, indem sie jeweils eine Zahl 
X bzw. y kleiner als p (und teilerfremd zu p-1) geheim wahlen. Dann senden sie sich 
(nacheinander oder gleichzeitig) die x-te (bzw. y-te) Potenz einer ofFentiich bekannten Zahl 

20 a zu. Aus den empfangenen Potenzen konnen sie durch emeutes Potenzieren mit x bzw. y 
einen gemeinsamen Schlussel K:=a'^ berechnen. Ein Angreifer, der nur a'' und sieht, 
kaim daraus K nicht berechnen. (Die einzige heute bekannte Methode dazu bestunde darin, 
zunachst den Logarithmus z.B. von a"^ zur Basis a modulo p zu berechnen, und dann 
damit zu potenzieren.) 

Alice Bob 

- Wahltx geheim ct" 

Wahlt y geheim 

Bildet K := (ay)"" = a'^ Bildet K := (a'^y = a'^ 

25 

Beispiel fiir DifFie-Hellman-Schlusselaustausch 



wo 00/22776 



PCT/EP99/07052 



Das Problem beim DH-Schlusselaustausch besteht darin, dal3 Alice nicht weiB, ob sie 
tatsachlich mit Bob kommunizien, oder mit einem Betniger. In EPSec wird dieses Probiem 
durch den Einsatz von Public-Key-Zertifikaten gelosi, in denen durch eine 
vertrauenswurdige Instanz die Identitat eines Teilnehmers mit einem dffentlichen Schlussel 
5 verknupft wird. Dadurch wird die Identitat eines Gesprachspartners uberpriifbar. 

Der DH-Schlusselaustausch kann auch mit anderen mathematischen Strukturen realisiert 
werden, z.B. mit endlichen Korpem GF(2") oder Elliptischen Kurven. Mit diesen 
Altemativen kann man die Performance verbessem. 
10 Dieses Verfahren ist allerdings nur zur Vereinbarung eines Schlussels zwischen zwei 
Teilnehmem geeignet. 

Es wurden verschiedene Versuche untemommen, das DH-Verfahren auf drei oder mehr 
Teilnehmer zu erweitem (Gruppen DH). Einen Uberblick iiber den Stand der Technik bietet 
M. Steiner, G.Tsudik, M. Waidnen in DifEe-Hellmann Key Distribution Extended to Group 
15 Communication, Proc. 3'"* ACM Conference on Computer and Communicatios Security, 
Marz 1996, Neu Delhi, Indien. 



Eine Erweiterung des DH-Verfahrens auf Teilnehmer A, B und C wird z.B. durch 
nachfolgende Tabelle beschrieben (Berechnungen jeweils mod p): 





A->B 


B->C 


C-> A 


1. Runde 






g' 


2. Runde 


■ g". 


g^" 


g" 



20 Nach Durchfiihrung dieser beiden Runden kann jeder der Teilnehmer den geheimen 
Schlussel g***^modp berechnen. 



Bei alien diesen Erweiterungen trin mindestens eines der folgenden Probleme auf: 

- Die Teiliiehmer mussen in einer bestimmten Art und Weise geordnet sein, im obigen 
25 Beispiei z.B. als Kreis. 

- Die Teilnehmer haben gegeniiber der Zentrale keinen EinfluS auf die Auswahl des 
Schlussels. 

- Die Rundenzahl ist abhangig von der Teilnehmerzahl. 

Diese Verfahren sind in der Regel schwer zu implementieren und sehr rechenaufwendig. 
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Ein weiteres Verfahren zum gemeinsamen Etablieren eines Schlussels ist aus DE 195 38 
385.0 bekannt. Bei diesem Verfahren muB die Zentrale allerdings die geheimen Sclilussel 
der Teilnehmer kennen. 

5 

Weiterhin ist eine Losung aus Burmester, Desmedt, A secure and efficient conference key 
distribution system, Proc. EUROCRYPT'94, Springer LNCS, Berlin 1994 bekannt, bei der 
zwei Runden zur Generierung des Schlussels benotigt werden, wobei in der zweiten Runde 
durch die Zentrale fur n Teihiehmer n Nachrichten der Lange p = ca. lOOOBit gesendet 

10 werden miissen. 

Bekannt ist auch ein als (n,t)-Threshold- Verfahren bezeichnetes kryptographiscfaes 
Verfahren. Mit einem (n,t)-Threshold- Verfahren kann man einen Schliissel k so in t Teile, 
die shadows genannt werden, zerlegen, daB dieser Schlussel k aus je n der t shadows 
rekonstruiert werden kann (vgl. Beutelspacher, Schwenk, Wolfenstetter: Modeme 

15 Verfahren der Kryptographie (2 . Auflage), Vieweg Verlag, Wiesbaden 1 998). 

Das vorliegende Verfahren zur Erzeugung eines gemeinsamen Schlussels zwischen einer 
Zentrale und einer Gruppe von mindestens drei Teilnehmem soli den gleiciien 
Sicherheitsstandard wie das DH- Verfahren aufvveisen. Das Verfahren soil dabei jedoch 
20 einfach zu implementieren sein und einen minimalen Rechenaufwand benotigen. Das 

Verfahren soli so ausgebildet sein, daB die geheimen Schlussel der Teilnehmer der Zentrale 
dabei nicht bekannt gemacht werden miissen. 

Das erfindungsgemaBe Verfahren, das dieser Aufgabenstellung gerecht Avird, basiert auf den 
25 gleichen matheraatischen Strukturen, wie das DH- Verfahren und weist daher vergleichbare 
Sicherheitsmerkmale auf Im Vergleich zu den bisher vorgeschlagenen Gruppen-DH- 
Verfahren ist es wesentlich eflBzienter im Hinblick auf Rechenaufwand und 
Kommunikationsbedarf . 

Nachfolgend wird das Wirkprinzip des erfindungsgemafien Verfahrens naher erlautert. 
30 Die Zentrale wird dabei mit Z bezeichnet, definierte Teilnehmer am Verfahren mit Tl-Tn 
und jeder einzelne nicht konkret benannte Teihiehmer mit Ti. Die ofFentlich bekannten 
Komponenten des Verfahrens sind eine ofFentlich bekannte mathematische Gruppe G, 



wo 00/22776 4 PCT/EP99/07052 

vorzugsweise die multiplikative Gaippe aller ganzen Zahlen modulo einer groBen Primzahl 
p, und ein Element g der Gruppe G, vorzugsweise eine Zahl 0<g<p mit groBer 
multiplikativer Ordnung. Fur die Gruppe G konnen jedoch auch andere geeignete 
mathematische Strukturen verwendet werden, z.B. die multiplikative Gruppe eines 
5 endlichen Korpers, oder die Gruppe der Punkte einer elliptischen Kurve. 



Das Verfahren verlauft in drei Arbeitsschritten. 

Im ersten Arbeitsschritt wird von jedem Teilnehmer Ti eine Nachricht der Form 
10 (Ti, g* mod p) an die Zentrale gesendet, wobei i eine mittels eines Zufallsgenerators 
gewahlte zufallige Zahl des Teilnehmers Ti ist. 

Im zweiten Arbeitsschritt wird in der Zentrale Z 

- eine zufallige Zahl z generiert und fiirjeden Teilnehmer Ti die Zahl (g')^ mod p 
15 berechnet. 

- Bei n Teilnehmem werden in der Zentrale Z dann aus diesen n Zahlen n shares mit Ifilfe 
eines an sich bekannten (n, 2n-l) Threshold Verfahrens abgeleitet, 

- In der Zentrale Z werden n-1 weitere shares s^-s""^ ausgewahlt und zusanmien mit der 
Zahl g^ mod p an alle Teilnehmer Tl-Tn gesendet. 

20 

Im dritten Arbeitsschritt wird bei jedem Teilnehmer Ti der gemeinsamen Schlussel k 
berechnet, wobei 

- (g^)* mod p = (g*)'' mod p berechnet wird, 

- daraus ein share des Threshold Verfahrens abgeleitet wird und 

25 - mit diesem share und s^.-.s**'* als Geheimnis der gemeinsame Schlussel k ermittek wird. 

Nachfolgend v^rd das erfindungsgemaBe Verfahren anhand eines konkreten Beispiels fur 
drei Teilnehmer A, B, und C sowie einer Zentrale Z naher erlautert. Die Anzahl der 
Teilnehmer ist jedoch auf beliebig viele Teilnehmer erweiterbar. 
30 Bei diesem Beispiel betragt die Lange der Zahl p 1024 Bit; g hat eine muhiplikative 
Ordnung von mindestens 2^^** . 
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Das erfindungsgemaOe Verfahren lauft nach folgenden Veifahrensschritten ab: 

1. Teilnehmer A, B und C senden g' mod p, g** mod p und g"" mod p an die Zentrale Z. 

2. In der Zentrale Z wird g" mod p, g*"" mod p und g"^ mod p berechnet, wobei jeweils die 
128 Least Significant Bits davon als shares Sa, Sb bzw. Sc verwendet werden. In der 
Zentrale Z wird mittels des (n,2,-l)-Threshold-Verfahrens ein Polynom P(x) uber einem 
endlichen Korper GF(2^^^) vom Grad 2 berechnet, das durch die Punkte (1,Sa), (2,Sb) 
und (3,sc) geht und durch diese eindeutig festgelegt ist. Der gemeinsame Schlussel k ist 
der Schnittpunkt dieses Polynoms mit der y-Achse, d. h. k; =P(0). Die Zentrale Z sendet 
nun g^ mod p, Si;=P(4) und S2;=P(5) an die Teilnehmer A, B und C. 

3. Beim Teilnehmer A wird (g^)' mod p berechnet. Im Ergebnis erhalt der Teilnehmer A mit 
den 128 Least Significant Bits dieses Wertes den share Sa, der zusammen mit den shares 
Si und S2 ausreicht, das Polynom P'(x) und damit auch den Schlussel k zu bestimmen. Bei 
den Teilnehmem B und C wird analog verfahren. 

Das oben beschiiebene Verfahren kommt rnit der minimalen Anzahl von zwei Runden 
zwischen den Teilnehmem Tl-Tn und Zemrale Z aus. In der zweiten Runde kann der 
Aufwand fur die von der Zentrale an die n Teilnehmer zu ubearagenden Zeichenfolgen im 
Gegensatz zu der Losung von Burmester und Desmedt auf eine Lange von jeweils 128 Bit 
pro Teibiehmer reduziert werden. 
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1 . Verfahren zum Etablieren eines gemeinsamen Schlussels k zwischen einer Zentrale Z 
und einer Gruppe von Teilnehmern Tl-Tn mit einer ofFentlich bekannten 
mathematischen Gruppe G und einem Element geG von groBer Ordnung in der 
Gruppe G, so daB fur die Gruppe G und das Element g die Berechnung des diskreten^^ 
Logarithmus praktisch unmoglich ist, dadurch gekennzeichnet, daB 

a) von jedem Teilnehmer (Ti) eine Zufallszahl (i) generiert und aus dem bekannten 
Element g €G und der jeweiligen Zufallszahl (i) von jedem Teilnehmer (Ti) der Wert 
(g') berechnet und zur Zentrale (Z) gesendet wird, daB 

b) in der Zentrale (Z) eine Zufallszahl (z) generiert wird, daB aus der Zufallszahl (z) und 
den empfangenen Werten(g*) die Werte (g')^ in G berechnet werden, daB aus diesen 
Werten n shares (si,...,Sn) eines Threshold- Verfahrens abgeleitet werden , und daB aus 
den shares (si,...,Sn) ein (a,2,-i)-Threshold-Verfahren konstmiert wird, wobei das durch 
dieses Verfahren implizid gegebene Geheimnis der zu etablierende Schlussel (k) ist, daB 
in der Zentrale (Z) n-1 weitere, von den shares (si,,..,Sn) verschiedene shares (s„+i,...S2n- 
i) zusammen mit dem Wert g^ in G berechnet und an die Teilnehmer (Tl-Tn) 
iibertragen werden, und daB 

c) bei jedem Teilnehmer (Ti) der zu etablierende Schlussel (k) dadurch rekonstruiert 
wird, daB aus dem von der Zentrale (Z) tibertragenen Wert (g^) und der Zufallszahl (i) 
des jeweiligen Teilnehmers (Ti) der Wert fur (g^) ' in G berechnet wird, daB aus dem 
resultierenden Wert mittels eines Threshold Verfahrens der share (Si) abgeleitet wird 
und daB mit dem share (Si) und den von der Zentrale (Z) iibertragenen shares 

(Sn+i, .S2n-i) niit Hilfe des (n,2,-l)-Threshbld- Verfahrens der Schlussel (k) rekonstruiert 
wird. 



